Instapaper is een Android app die gebruikers in staat stelt om artikelen op hun apparaten op te slaan, zodat ze later kunnen lezen wanneer ze onderweg zijn of offline. Specifieker, de app slaat webpagina's alleen tekst en formatteert ze dan op de juiste wijze voor telefoons en tablets. De app beschikt over een vrij grote hoeveelheid installaties op apparaten: tussen 100,000 en 500,000 en heeft een mooie score van 4.2.
de Vulnerability
Iedereen die wil om de app te gebruiken moet een account aan te maken, en heeft om in te loggen. Instapaper implementeert een beveiligde HTTPS-verbinding, die geacht wordt om informatie overgedragen tussen de gebruikers en de app te beschermen. Echter, Bitdefender heeft geconstateerd dat in versie 4.1.4 van de app, er is geen uitvoering van certificaatvalidatie. In lekentaal, wanneer u zich aanmeldt, u de gegevens te sturen naar de server van de app, maar er is niet te zeggen of het de beoogde doel zal bereiken. Zoals Bitdefender gewezen in hun blogpost, iemand “kan een zelf-ondertekend certificaat te gebruiken en beginnen‘communiceren’met de applicatie”. Hoewel de gegevens en uw inloggegevens zijn versleuteld, als hackers om hen te onderscheppen, het zal niet lang meer duren voordat ze ontsleutelen en krijgen toegang tot je account.
Voor meer technische krijgen, Instapaper maakt gebruik van een SSLSocketFactory die wordt verondersteld om de HTTPS-servers te valideren tegen een lijst met certificaten, evenals het maken van zorgen dat ze authentiek zijn door middel van een private sleutel. Op deze manier uw gecodeerde gegevens worden verzonden tussen servers. De TrustManager de app gebruikt, echter, heeft geen implementatie voor certificaatvalidatie. Dit betekent dat oplichters zich voordoen als legitieme Instapaper servers en krijg je data.
The Man-in-the-middle-aanval
Laten we zeggen dat de Wi-Fi-netwerk dat u gebruikt in het gedrang komt, d.w.z.. het wordt gecontroleerd door hackers. Als u zich aanmeldt bij Instapaper tijdens het gebruik van een dergelijke verbinding, de hackers kan zowel uw gebruikersnaam en wachtwoord te onderscheppen. Je denkt misschien dat een Instapaper-account is geen big deal, omdat je alleen gebruiken om artikelen te lezen. Echter, de meeste gebruikers recyclen vaak gebruikersnamen, evenals wachtwoorden. Als u dezelfde gebruikersnaam en hetzelfde wachtwoord gebruiken, op een andere dienst, de hackers toegang krijgen tot dat en stelen meer gevoelige informatie.
The Fix
Instapaper heeft een update uitgebracht op dinsdag, versie 4.2.2, die moet het probleem op te lossen. Als je de app op uw telefoon of tablet, raden wij u aan het updaten van het meteen.